CHƯƠNG 6 CÁC GIAO THỨC BẢO MẬT ThS.Nguyễn Duy duyn@uit.edu.vn 10/15/2014 Nội dung  IP Security  Secure Socket Layer /Transport Layer Security  Pretty Good Privacy  Secure Shell 2 duyn@uit.edu.vn 10/15/ 2014 Nội dung  IP Security  Secure Socket Layer /Transport Layer Security  Pretty Good Privacy  Secure Shell 3 duyn@uit.edu.vn IP Security Tổng quan  Là một giao thức bảo mật chính tại lớp Mạng (Network Layer – OSI) hoặc lớp Internet (Internet Layer – TCP/IP).  IPsec là yếu tố quan trọng để xây dựng mạng riêng ảo (VPN – Virtual Private Networks).  Bao gồm các giao thức chứng thực, các giao thức mã hoá, các giao thức trao đổi khoá:  AH (Authentication header): được sử dụng để xác định nguồn gốc gói tin IP và đảm bảo tính toàn vẹn của nó.  ESP (Encapsulating Security Payload): được sử dụng để chứng thực và mã hoá gói tin IP (phần payload hoặc cả gói tin).  IKE (Internet key exchange): được sử dụng để thiết lập khoá bí mật cho người gởi và người nhận. 4 duyn@uit.edu.vn IP Security – tt Tổng quan  Ứng dụng của IPsec:  Bảo mật kết nối giữa các chi nhánh văn phòng qua Internet.  Bảo mật truy cập từ xa qua Internet.  Thực hiện những kết nối Intranet và Extranet với các đối tác (Partners).  Nâng cao tính bảo mật trong thương mại điện tử. 5 duyn@uit.edu.vn IP Security – tt Tổng quan 6 duyn@uit.edu.vn IP Security – tt Tổng quan 7  Ví dụ minh hoạ:  Khi Alice muốn giao tiếp với Bob sử dụng IPsec, Alice trước tiên phải chọn một tập hợp các giải thuật mã hóa và các thông số, sau đó thông báo cho Bob về lựa chọn của mình.  Bob có thể chấp nhận lựa chọn của Alice hoặc thương lượng với Alice cho một tập hợp khác nhau của các giải thuật và các thông số.  Một khi các giải thuật và các thông số được lựa chọn, IPsec thiết lập sự kết hợp bảo mật (Security Association - SA) giữa Alice và Bob cho phần còn lại của phiên làm việc. duyn@uit.edu.vn IP Security – tt Tại sao cần sử dụng IP Security 8  IPv4 không được thiết kế với tính bảo mật  Những cuộc tấn công có thể xảy ra với IPv4  Eavesdropping  Data modification  Identity spoofing (IP address spoofing)  Denial-of-service attack  Man-in-the-middle attack duyn@uit.edu.vn IP Security – tt Tại sao cần sử dụng IP Security 9  Eavesdropping  Mã hóa dữ liệu.  Data modification  IP sử dụng thuật toán hàm băm  Identity spoofing (IP address spoofing)  Sử dụng cơ chế xác thực lẫn nhau  Denial-of-service attack  Cho phép block traffic  Man-in-the-middle attack  Sử dụng cơ chế xác thực lẫn nhau + Shared Key duyn@uit.edu.vn IP Security – tt Security Association (SA) 10  Một SA cung cấp các thông tin sau:  Chỉ mục các thông số bảo mật (SPI - Security parameters index): là một chuỗi nhị phân 32 bit được sử dụng để xác định một tập cụ thể của các giải thuật và thông số dùng trong phiên truyền thông. SPI được bao gồm trong cả AH và ESP để chắc chắn rằng cả hai đều sử dụng cùng các giải thuật và thông số.  Địa chỉ IP đích.  Giao thức bảo mật: AH hay ESP. IPsec không cho phép AH hay ESP sử dụng đồng thời trong cùng một SA. duyn@uit.edu.vn [...]... header vào mỗi khối, và sau đó truyền đi các khối kết quả Các giao thức đổi mật mã (change-cipher-spec protocol) cho phép các bên giao tiếp có thể thay đổi các giải thuật hoặc các thông số trong một phiên truyền thông Các giao thức cảnh báo (alert protocol) là một giao thức quản lý, nó thông báo cho các bên tham gia truyền thông khi có vấn đề xảy ra SSL/TLS Giao thức bắt tay của SSL 28 duyn@uit.edu.vn... duyn@uit.edu.vn SSL/TLS Giao thức bản ghi (record protocol) của SSL 26 duyn@uit.edu.vn SSL/TLS Các giao thức của SSL 27 duyn@uit.edu.vn    Giao thức bắt tay (handshake protocol) thành lập các giải thuật mã hóa, giải thuật nén, và các thông số sẽ được sử dụng bởi cả hai bên trong việc trao đổi dữ liệu được mã hóa Sau đó, các giao thức bản ghi (record protocol) chịu trách nhiệm phân chia thông điệp vào các khối,...  Giao thức SSL (Secure Socket Layer Protocol) và giao thức TLS (Transport Layer Security Protocol) là những giao thức bảo mật tại lớp vận chuyển được dùng chủ yếu trong thực tế Được thiết kế và phát triển bởi Netscape từ năm 1994, SSL được sử dụng để bảo vệ những ứng dụng World-Wide-Web và các giao dịch điện tử TLS là một phiên bản sửa đổi của SSL v3, được xuất bản năm 1999 như là tiêu chuẩn bảo mật. .. (IETF) Chỉ có khác biệt nhỏ giữa TLS và SSL v3 SSL/TLS Các thành phần của SSL 24 duyn@uit.edu.vn  Giao thức SSL bao gồm 2 thành phần:  Thành phần thứ nhất được gọi là record protocol, được đặt trên đỉnh của các giao thức lớp vận chuyển  Thành phần thứ hai được đặt giữa các giao thức tầng ứng dụng (như HTTP) và record protocol , bao gồm các giao thức:  Handshake protocol  Change-cipher-spec protocol...IP Security – tt Các phương thức hoạt động của IPsec 11 duyn@uit.edu.vn IPsec bao gồm 2 phương thức:  Phương thức Vận chuyển (Transport Mode): sử dụng Transport Mode khi có yêu cầu lọc gói tin và bảo mật điểm-tới-điểm Cả hai trạm cần hỗ trợ IPSec sử dụng cùng giao thức xác thực và không được đi qua một giao tiếp NAT nào Nếu dữ liệu đi qua giao tiếp NAT sẽ bị đổi địa chỉ IP trong... và làm mất hiệu lực của ICV (Giá trị kiểm soát tính nguyên vẹn) IP Security – tt Các phương thức hoạt động của IPsec 12 duyn@uit.edu.vn IPsec bao gồm 2 phương thức:  Phương thức đường hầm (Tunel mode): sử dụng mode này khi cần kết nối Site-to-Site thông qua Internet (hay các mạng công cộng khác) Tunel Mode cung cấp sự bảo vệ Gateway-to-Gateway (cửa-đến-cửa) IP Security – tt Định dạng AH 13 duyn@uit.edu.vn... chế bảo mật E-mail 35 duyn@uit.edu.vn    Bảo mật email là một ứng dụng cổ điển của các giải thuật mã hoá Cho E và D biểu thị một giải thuật mã hoá và giải mã khoá đối xứng Cho E^ và D^ biểu thị một giải thuật mã hoá và giải mã khoá công khai Giả sử Alice muốn chứng minh với Bob là email M mà Bob nhận được là từ Alice gởi, Alice có thể gởi chuỗi sau cho Bob: Pretty Good Privacy (PGP) Cơ chế bảo mật. .. IP Security – tt Định dạng ESP 19 duyn@uit.edu.vn  Encapsulating Security Payload (ESP)     Xác thực Toàn vẹn Bảo mật Tránh tấn công Replay-Attack IP Security – tt Sự kết hợp của các SA 20 duyn@uit.edu.vn IP Security – tt Các giải thuật mã hoá và chứng thực 21 duyn@uit.edu.vn  Các giải thuật sử dụng để mã hoá và chứng thực bao gồm:  Three-key triple DES  RC5  IDEA  Three-key triple IDEA... Security – tt Định dạng ESP 18 duyn@uit.edu.vn  Một gói ESP chứa các vùng sau:   Next Header (8 bits): chỉ ra kiểu dữ liệu chứa trong vùng payload data bằng cách chỉ ra header đầu tiên của vùng payload này Authentication Data (variable): một vùng có chiều dài biến đổi (phải là một số nguyên của từ 32-bit) chứa ICV được tính bằng cách gói ESP trừ vùng Authentication Data IP Security – tt Định dạng... thuật mã hoá Các giải thuật được chọn có thể là RSA, AES-128, 3DES, RC6, SHA-1… Client sẽ khởi tạo với một thông điệp client-hello Phase 2: server xác thực và trao đổi khoá Server sẽ gởi cho client:   Thông tin trao đổi khoá của server   Chứng chỉ khoá công khai của server Yêu cầu chứng chỉ khoá công khai của client Phase 3: client xác thực và trao đổi khoá Client trả lời cho server các thông tin: